Mappage des champs de ticket Secureworks aux champs Security Incident Response

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Mappez les champs de ticket ou d’événement individuels aux champs d’un Now Platform SIR incident de sécurité.

    Mappage de champs de tickets

    En tant qu’utilisateur disposant du rôle sn_si.admin, utilisez les champs de la section Échantillons de tickets à gauche et mappez-les aux champs d’incident de sécurité dans la colonne Mappage de champ d’incident SIR . Modifiez la configuration du mappage en faisant glisser les champs de ticket ou d’événement depuis le côté gauche et en les déposant sur la section Mappage de champ d’incident SIR à droite. Le mappage de droite associe le champ de ticket entrant à un champ d’incident de sécurité sortant.

    1. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez longuement sur le nom d’un champ bleu sur le côté gauche du formulaire.
    2. Vous pouvez saisir manuellement le nom du champ dans la colonne Expression d’entrée ou glisser-déplacer le nom du champ. Par exemple, description, puis déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité .
      La valeur du champ est affichée dans la colonne expression d’entrée. Dans l’image suivante, categoryClass est mappée au champ Catégorie de l’incident de sécurité.
      Secureworks CTP : créer un profil : mappage
      Remarque :
      Si vous saisissez manuellement le nom du champ d’événement dans la section Expression d’entrée , vous devez ajouter un préfixe ${Event :eventfield}$ avant le nom du champ mappé.

      Pour vous assurer qu’aucun champ de ticket ou d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Le codage couleur des champs de ticket vous aide à suivre les valeurs de ticket que vous avez déjà mappées à mesure qu’elles grisent tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous permet de mieux visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations importantes restantes sur le ticket restent non mappées.

      Les champs bleu clair sur la gauche indiquent qu’un champ de ticket n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférerez peut-être associer un ticket entrant ou un champ d’événement à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.

    3. Pour ajouter des champs aux champs par défaut affichés dans l’incident de sécurité à droite du formulaire, procédez comme suit :
      1. À droite du formulaire, dans la SIR section Mappage des champs d’incidents, en bas de la grille, cliquez sur l’icône (+). Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste de choix qui s’affiche, puis sélectionnez un champ.
        Dans la liste de choix développée pour le nouveau champ, certains champs sont grisés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour les champs de ticket sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident déjà mappés SIR .
        Secureworks CTP : créer un profil : sélection de mappage
        Remarque :
        Étant donné que plusieurs observables peuvent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous affichez un aperçu de l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste de choix à partir de laquelle vous pouvez choisir plusieurs options et que vous essayez de mapper une option à ce champ qui n’est pas affiché sur la liste de choix, le champ n’est pas renseigné pour l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Sur le côté gauche du formulaire, sélectionnez le champ Ticket et glissez-le vers un champ d’incident de sécurité approprié sur la droite.
    4. Supprimez des champs à l’aide de l’icône - en regard du nom du champ dans la section Mappage de champ d’incident SIR.
    5. Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ au mappage.

    Formater la traduction du champ

    Dans certains cas, les champs de ticket peuvent ne pas être traduits directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte programme malveillant et infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident SIR de sécurité à l’aide de la fonctionnalité Formater la traduction de champ.

    Pour utiliser l’éditeur de script, cliquez sur l’icône {} en regard du champ Catégorie. L’éditeur de script s’affiche
    Secureworks CTP : Créer un profil : éditeur de script
    .

    Saisissez toutes les modifications apportées au script et cliquez sur Mettre à jour pour enregistrer les modifications et revenir à la page Mappage.

    Conditions de génération d’incidents

    Une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de spécifier les tickets qui doivent créer des incidents de sécurité par rapport aux tickets qui doivent être filtrés, par exemple, les tickets de faible priorité. Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un ticket entrant doit satisfaire pour créer un incident de sécurité. Pour définir les conditions de génération d’incidents, procédez comme suit.
    1. Faites défiler le formulaire jusqu’à la section Conditions de génération d’incidents et cochez la case Filtre basé sur les conditions pour activer l’option.

      Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites par les champs.

      Les options des listes de choix pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion de tickets d’échantillons pour les tickets ingérés. Ces champs sont dynamiques et changent en fonction des tickets que vous ingérez. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux Secureworks CTP valeurs du ticket. Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être revenir à votre Secureworks CTP console et passer en revue vos tickets pour les mots clés.

      Remarque :
      Les champs de ticket worklogs, devices, attachments, watchers, availableactions et closeCodes peuvent avoir plusieurs valeurs (car les valeurs sont stockées dans des tableaux). Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre contient pour ces champs afin de vous assurer que les données sont filtrées correctement.
    2. À l’aide des listes de choix et des champs du créateur de conditions, définissez des filtres pour la première ligne.
    3. Pour ajouter d’autres conditions, à droite des champs, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être remplies.
      • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.
    4. (Facultatif) Dans la deuxième ligne, définissez une deuxième condition de filtre.

      Ce type de filtrage des conditions de génération d’incidents vous aide à affiner les tickets et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la règle ou les filtres sous-jacents. Si des critères de filtrage supplémentaires sont définis, seuls les tickets qui correspondent à tous les critères sont mappés aux incidents de sécurité.

    Critères d’agrégation de tickets pour gérer des tickets similaires et empêcher les incidents en double

    Définissez des critères d’agrégation de tickets supplémentaires qui regroupent un ticket entrant en un incident de sécurité existant SIR au lieu de créer des incidents similaires potentiellement dupliqués. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données de ticket connexes sur un seul incident de sécurité. Pour définir les critères, procédez comme suit :
    1. Faites défiler le formulaire jusqu’à la section Critères d’agrégation de tickets et cochez la case Conditions d’agrégation pour activer cette option.

      Les colonnes Valeurs correspondantes de champ d’incident s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.

    2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform et déplacez-les vers la liste Sélectionné.

      Toutes les valeurs de champ que vous sélectionnez doivent être mises en correspondance pour ajouter ce ticket entrant à un incident de sécurité existant. Cela inclut les champs, tels que Observables et Éléments de configuration, auxquels plusieurs valeurs de champ de ticket peuvent être mappées. Toutes les valeurs doivent correspondre. Si seul un sous-ensemble de valeurs correspond, les conditions d’agrégation des tickets ne seront pas remplies et un nouvel incident de sécurité sera créé. Voir la capture d’écran ci-dessous pour le mappage de champs à valeurs multiples.


      Secureworks CTP : Créer un profil : Mappage : Agrégation

      Si un nouveau ticket correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation lors de l’étape de mappage, le nouveau ticket est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst et travaillant sur des incidents de sécurité, vous pouvez afficher tous les tickets agrégés ajoutés sur une liste connexe sur un incident de sécurité. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces tickets sont regroupés à des incidents de sécurité existants. Si cet onglet n’est pas affiché dans un incident de sécurité, faites défiler l’écran vers le côté gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .

      Remarque :
      La liste connexe Tickets agrégés SecureWorks n’est pas disponible avec le système de base. Vous devez configurer la mise en page de la liste connexe et l’inclure explicitement avec les autres listes connexes.
    3. (Facultatif) Pour consigner une note de travail pour un nouveau ticket récemment ajouté à l’incident de sécurité, cochez la case pour activer cette option. La note de travail consigne l’ajout d’un nouveau ticket, ainsi qu’un lien vers les détails du ticket et tous les autres détails qui ont pu être ajoutés au champ Note de travail dans votre section de mappage.

      Vous avez mappé avec succès les valeurs d’un Secureworks CTP ticket aux champs d’un incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également ajouté des tickets aux incidents de sécurité existants lorsque les valeurs de champ de ticket correspondent aux critères d’agrégation configurés.

    4. Cliquez sur Continuer pour poursuivre la configuration du profil. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité